Cerca nel blog

2005/10/07

Nuova terminologia: dopo il phishing, arriva lo spear phishing

Secondo un articolo di IBM, sta sviluppandosi una nuova forma di attacco, simile al phishing ma più mirato.

Il phishing si basa sul mandare centinaia di migliaia di e-mail generici che simulano di provenire da una banca o da eBay o da altra organizzazione che gestisce soldi, nella speranza di trovare a casaccio qualche utente di quell'organizzazione che sia sufficientemente malaccorto da rispondere all'invito a fornire i propri codici segreti. La nuova forma di attacco, denominata spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"), è invece calibrata specificamente sulla vittima.

Lo spear phishing è in genere condotto dall'interno del sistema. Per esempio, un dipendente di una ditta (che conosce i dettagli personali degli altri dipendenti) manda a ciascuno dei propri colleghi un e-mail che si spaccia per una comunicazione interna, che ordina loro di cambiare password e di inviarla via e-mail all'indirizzo appositamente fornito. L'indirizzo, ovviamente, non è quello dell'amministratore della sicurezza, ma uno che gli somiglia, creato dal dipendente-aggressore.

Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti. Nel phishing tradizionale, i messaggi iniziano con un vago "caro correntista" e simili. I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già tutte queste informazioni personali.

Per difendersi occorre, come sempre, cautela e un po' di buon senso. Qualunque richiesta di dati personali e specialmente di codici d'accesso che ci arriva via e-mail va trattata con la massima diffidenza e verificata usando un canale di comunicazione alternativo: per esempio, una telefonata al responsabile aziendale della sicurezza o all'ente che apparentemente ha inviato il messaggio di richiesta.

3 commenti:

Andrea ha detto...

Molto interessante da sapere, per fortuna non lavoro in un'azienda...ma non mi sento lo stesso al sicuro.

Mackley ha detto...

Beh, tutto sto can-can per nuove forme di phishing... siete mai stati in un ambulatorio medico ? ci sono i volantini prestampati delle Questure locali che informano gli anziani sul non fidarsi di addetti di ENEL, INPS, ecc. che fingono di dover variare contratti, pretendono soldi, vogliono entrare in casa, ecc. ecc.

I "truffatori" sono in giro dai tempi di Toto' e della fontana di Trevi... solo utilizzano ora un mezzo che sembra "immacolato", affidabile e attendibile: Internet.

Non dimentichiamo che è solo un canale di comunicazione come un'altro.. e la gente ci riversa quello che vuole... come ad esempio questi simpatici trucchetti... :-p

DR ha detto...

Lo "spear phishing" non è un fenomeno nuovo, ma è noto da tempo sotto il nome di "social engineering".